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Estrutura da Apresentação 


> Motivação 
>Uma visão geral da USPNet 
>A Equipe de Segurança 
=O cenário antigo 
> À ferramenta SIRI 
—» Funcionalidades da Ferramenta 
>O cenário atual 
> Trabalhos futuros 
> Debate. 
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A Equipe de Segurança 


> Centro de Computação Eletrônica 
> Responsável pelo security@usp.br, abuse@usp.br., ... 
> 4 Analistas 
> 4 Ténicos/operadores 
> Atendimento 24x7 


> Administradores em cada Unidade 


> Trabalho cooperativo e colaborativo 
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Problemas no cenário antigo 
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“O problema onde há um excesso de dados pode 
ser tão prejudicial quanto a sua falta” 


A Ferramenta SIRI 


Procedimantos para 5 dia-a-dia des | Gráficos das reporta recebidos pala USP res Manual da cparação do 
adrnicieriradoras de sistema, Што mesada, antemão. 


Minimização do Tempo de RI 
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Login: Maura Cesar Bernardes 
Lis Paulo, 
йб йе Адын de 2003. 


sistema de Resposta a Incidentes 


Incidentes em Alberto 
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5 Incidentes Exnpirados г. - Microsoft Inbernet Explorer | 
atenção, existem incidentes explrados 111 


Os incidentes abaixo estão excederam a data limite de resolução !!! 


[[2-03200—[ Spam | Exprado | 2003-02-27/21:03:00 EOEE ZEN 
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Triagem de um Incidente 
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Login: [caser 
TEOMA ÓÓ—r! 
Espero minha praia! 
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Cadastro de Incidente 


dos do [тишн e 


Tipo da Incidente: | Spam = 


IP {USF} Ervolvido: | 19310700000 


Unidade Ervolvida: 


Lingua: С Portugês * ings | 


Acrescentar informações complementares s forceacidas pelo reclamante = *| 
que poderão sec ütwis À Equipe са segurana в њол Rebninistrmdbrmsx 
rmmponzáveis poleas máquinas emvblvidas 


Ações Emergenciais 


> A partir da triagem do Incidente, 
pode-se adotar ações emergenciais. 


Notificações Personalizadas 


Envio de Notificação 


Número E 1-032003 


E-mail do , [christian @telefutura.cor 
security@usp.br 


Pre zado (=) Administrador (es), 


Teriamos algum posicionamento referente ao incidente 1- 
032003º 


Para visualizar o incidente clique no link abaixo: 


http://gandalf.uspnet.usp.br/-rafael/incidentes/visuali 
za incidente.php?incid cod=1-032003 


Atenciosamente, | 
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Identificação única para cada Incidente 


Cadastro de Incidente 


Incidente Cadastrado com sucesso || 


Número do Incidente: 7-042003 
T 


P USP Ervolyido: 


JF de Reclamante: 
Data do Incidente: UDA Ê 


© cadartrar 
É Gascadastrar 


йы LONG A ME 


МЗВ. barar Worry 


Visão Geral das Opções para Incidentes 


Sao Paulo, 
b de Abril de 2003 


Log de Incidentes 


Acompanhamento do Incidente 


1 À 
Busca da Incidentes por Data 
CER foe р 


Foram encontrado(s) 1 ocorincia(s) 11! 


Acesso Mediante Certificação 


Acompanhamento do Incidente 


3 ..:: Acompanhamento de Incidentes ::.. - Microsoft Internet Explorer 


Acompanhamento de Incidente 


Número do Incidente: _ — n Consultar | 


Dados do Incidente: 


úmero: 7-042003 Tipo: Spam  [status: Administrador 
ata: 2003-04-06 Data Cadastro: 2003-04-06 


Acrescentar informações complementares e fornecidas pelo 
reclamante e que poderão ser úteis à equipe de segurança e 
aos administradores responsáveis pelas máquinas envolvidas 


Não existem Logs para este incidente !!! 


Consulta outro incidente | Menu Opgóes 


Informações de Acompanhamento 
+ 9014033095: No 


Inclusão de Log de Incidente 
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MS-S0 бетыне Wor 


Informações de Acompanhamento 


reo de Incidente: 
Pacos Ar Pados do Incidente: 
Baco: Э ПЫГА |Т po: арап Stats: Administrador 
Data: 2003-04-06 Data Cadastro: 2003-04-06 
ora: 11:57:32 Hora Cadastro: 11:57:32 
Eoclamante XYZ nal da Raclamante: »yzilbiiaminin.canm: 
IP LED: 143.107. «4x.xwk 
крга: 2003-04-00 
Criador: Mauro Cesar Bernardos 


IP Reclamante: HHH. EHH HHH HOME 
Enceera- 2003-04-21 


É cedare 


horescentar informações complementares e fornecidas pelo 
É pascadaatrar 


zeclonmante e que poderão жиг úteis û equipa de MAQUETA а 
sos administradores responsáveis pelos máquinas envolvidas 


[MSL Garver warm | 


ora do Loge 


Descrição do Log cos e informações complementares 


Corrido guiro incidante | Peru Opos 


Consultas personalizadas para a Equipe 


Consulta Incidente 


Refinamento das informações do Incidente 
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alteração de Incidente 


penis IT TTT ED 7 


Mos (10 


Incidente Hümera: 


-mail Recl.: 


| Date Horas do Inciden! 
f" Cadastear Data Inzidanta: 


Г Dascadartrar 


Informació 
Г === Acrescencar informações complementares e foreecidas pelo reclamante = = 
—— Buller im poderão аек üreis а, equipe de segurança ¢ ava adainiacradorces 
Queria in Sendresdl raspansáveis pelas máquinas envolvidas 
WORN LOWEATE. 


| E 
Р USP do Incidente: 143.107 soc зоб 


ПР Reclamante: 
Data Cad. Incidente: 
Hora Cad. Incidente; 


tatus do Incidente: 


Kriador do Status: 


Alteração de Status 


0 3280393 IM = L E 


RA Alteração de Status de Incidente 


ide Abril de 2005 


Tipo de Incidente: Spam 
Data de Expiragáo: [2003-04-09 
© cadastrar 143.107 3000.43 
so 
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Gerenciamento de Alertas 


‘Proc t T kk 
Geranciamento de Alertas de Segurança 


Cadastro de Alertas 


"+ Dada ме. ә 


São Paulo, 
ide Abril de 2008 


fF cadastrar 
г. Damrcadaztrar 


| Últimos Alertas | 
Dreier из eres ael 
MW LOWGATE © 
Má- SOL errer Beer 


Encaminhamento de Alertas 


> Alertas Classificados; 
>Uso de Ontologias 


> Alertas priorizados conforme 
necessidade dos usuários; 


>Listas de Discussão X SiRI: O diferencial; 
— Correlacionar alertas as necessidades; 


>Meta: Trabalhar informações prévias, 
Histórico e Extração de conhecimento; 


Cadastro de Procedimentos 


àjguma etrndede as palos a 
Amaurcieriga sind. 
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Correlação Alertas X Procedimentos 


адаы EIE 
Procedimentos de Segurança 


mimos Procedimentos 


Hora: 12:04:03 


Data: 2003-02-23 Hora: 09:02! 30 


Manual indicado pela Microsoft para configuração do Windows 2000 com segurarça. 


E Calar Enviado por: Palas Tavares 
É Deraa rir Download: 5 in kid. po 


Correlação Alertas X Procedimentos 


*+-»>-9013 395493  OGH- 3H 


lerta: Remote Buffer Overfiow in Sendmail Data: 2003-03-05 [Hora: 15:50:07 
Tipo: Vulnerabilidade Nivel: critico Май: бәт 
Researchers ат IELEreer Security Systema (138) have discovered a 
а remotely exploitable wolnerabiliey in aétdoasl. This 
vulrecability could &llauw àn intreder tó gain castrol of а 
wulmnerable sendmail macuer. 


Host organizations have m variety of mail transfer agents 
ПИТА mt vacious locations within their network, with mt 
least obs exposed to the Internet, Since sendmail is the mort 
popular НТА, most medium-sized co large organizations ace 
likely? co have at least one vulrercsble sendmail server. In 


This malware is currently rapidly spresding in Taiwan, 
Australis, France, ard Japan from where TrendLabs has received 
a significant number of infection reports. he of 1:02 AE, 
Trend has declared a Yellow Alert to control the spread of 
this malware, 


This worm effectively uses a celacively mew social engipeering 
trick by minickibg ав aurareply message where ir attaches 

itself. Recipienrs are enticed inta opening che malware 
arrasbkmanr since the mimicked message arrives as а Feply га а = 


Alerta: MS-S50L Server Worn Data: 2009-02-24 Hora: 07:35:41 
Descrição: 


The шогы cargecipg 301 Server computers is self-propapacieg 
palicious code thar exploits che vulneraniliry described in 

4984321 (CAM-2002-=0645). This vuleezabilicy allows for che 
execucion af arbitrary code ов che SOL Server computer due La 
а stárk bultar overflaw. 


Üncs Ehe warm conpronizas a nacbica, ib will EEF to propagata 
itself. The worm wili craft packets af 376-bytes and mend then 


Estatísticas 


Estates dartinadas ess administradoras de 
3ibemai da USP, cadarirá-da ji 


Manual de cparação do 
adrnicieriradoras de sistema, Што mesada, | antemão. 


Estatísticas Personalizadas 
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Gráficos Personalizados 
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Gráficos de Incidentes 


Quantidade de Report's 


Incidentes Beportados em hat bıro de ZU Incidentes Report alos em Morembro de 20012 
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Respostas ams Incidentes em Outubro de 200% 


Estatísticas 


> O fator Psicológico; 


> Repositório de Informações; 


> Ajuda a redefinir requisitos de 
controle para a Política de Segurança. 


Manual de Documentação 


Soler ET enc ] aer ac та Pir ГТ ETT 


Manual de Operação do SIRI 
(Sistema de Resposta a Incidentes) 
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1.3.8 Dados do Incidente Cadastrado 
1.4 Consultas de Incidentes 
1.5 Alteração de Incidantes 


1.10 Graficos 
1.0 Informações do Sistema 

© projeto do SIRI (Sistema de Resposta a Incidentes) do Centro de Computação e Eletrórica da 
Universidade de São Paulo teve inicio em Dububro de 2002, a patir O 
¡AA AA A AN APTA E TT 


O Cenário Atual 


> Redução de 60% do tempo despendido no ciclo 
de vida de uma Resposta a Incidentes; 


> Acompanhamento personalizado de cada 
incidente; 


> Maior interacáo entre o reclamante, a equipe de 
seguranca e os administradores responsáveis; 


> Constituição de um Repositório de Informações. 


> Ferramenta auxiliar para as etapas previstas para 
a atividade de Resposta a Incidentes; 


IR Service Functions Overview 


Report-Request 


Site(s) Requester(s) 
CSIRT(s) Press Office 
Expert(s) 2 “. Management 


Constituição de um Sistema de Informações 


> Trabalhar dados para produzir informação 
e conhecimento; 


> Fornecer suporte a tomada de decisão; 


> Expectativa: Um sistema integrado 
homem-máquina que provê informações 
para dar suporte as funções de operação, 
administração e tomada de decisão em 
relação à segurança computacional; 


> Código aberto a contribuições. 


Volume 
Baixo 


Volume 
Alto 


Extração, interpretação e representação 
do conhecimento de um dado domínio. 


: Planejamento Estratégico 
Nível Estratégico : 


Nível Tático : Planejamento Tático 


: А : Planejamento Operacional 
Nível Operacional: 


Classificação dos Sistemas de Informação 


Sistemas de Informações Gerenciais 


Sistemas de Informação 
Informações para a tomada 
Gerenciais de decisão 


Objetivos: 


Apoiar os especialistas do domínio na 
obtenção de conhecimento de base de dados; 


KDD (Knowledge Discovery in Databases) 


Elementos de Apoio ao Processo KDD 


> Data Warehouse; 
> Técnicas Estatisticas; 
> Visualização de Dados 


Utilização dos conceitos de sistemas 
de informação para modelar um 
ambiente que permita ao 
administrador de segurança 


computacional, metodicamente, 
gerar conhecimento para planejar e 
programar a tomada de decisão com 
a eficiência e a eficácia exigidas 
pelos sistemas/redes atuais. 


Conclusões 


> À ferramenta apresentada apresentou 
contribuições significativas no processo 
de Ri; 


> Entretanto, a ferramenta SiRl é apenas o 
início de um projeto para a constituição 
de um sistema de informação; 


> Trabalho colaborativo é essencial! 


